Sin embargo, el 31 de enero Ivanti reveló dos vulnerabilidades más que se descubrieron mientras investigaba las dos fallas anteriores: una vulnerabilidad de escalada de privilegios rastreada como (CVE-2024-21888) y una falsificación de solicitud del lado del servidor en el componente SAML (CVE-2024-21893). ). Este último puede permitir a los atacantes acceder a recursos restringidos sin autenticación y también fue explotado como un día cero.
«En el momento de la publicación, la explotación de CVE-2024-21893 parece ser el objetivo», dijo la compañía en su artículo actualizado de la base de conocimientos. «Ivanti espera que el actor de la amenaza cambie su comportamiento y esperamos un fuerte aumento en la explotación una vez que esta información sea pública, similar a lo que observamos el 11 de enero después de la divulgación del 10 de enero».
Se requieren pasos adicionales para mitigar el riesgo de las vulnerabilidades de Ivanti
A partir del 1 de febrero, estarán disponibles versiones fijas para todos los productos afectados. Sin embargo, CISA solicita a las agencias que exporten su configuración, reconstruyan los dispositivos afectados realizando un restablecimiento de fábrica y actualizando el firmware y luego importen la configuración nuevamente, y eliminen el archivo xml de mitigación aplicado previamente.
También es importante revocar y volver a emitir cualquier certificado, clave y contraseña potencialmente expuestos, incluida la contraseña de habilitación del administrador, las claves de la interfaz de programación de aplicaciones (API) almacenadas, las contraseñas de cualquier usuario local definido en la puerta de enlace, incluidas las cuentas de servicio utilizadas para la autenticación. configuración del servidor.
Es posible que las cuentas de dominio asociadas con los productos afectados también se hayan visto comprometidas, por lo que las agencias deben restablecer las contraseñas de las cuentas locales y revocar los tickets de Kerberos, así como cualquier token para las cuentas en la nube en implementaciones híbridas. Los tokens de los dispositivos unidos a la nube también se deben restablecer deshabilitando esos dispositivos.